『詐欺メール』VJAグループから「異常な支払い額の通知 」と、来た件

Vpassのドメインは”vpass.ne.jp”ですよ！

ほんと次から次へとよくもまあ手を変えて送ってこられるものです、詐欺メールを。
知ってます？「VJAグループ」って。。。
調べたら「全国の主な銀行・金融機関系カード会社等で構成するVisaカード発行企業の
アソシエーション」だそうです…(^^;)ｹｯｷｮｸﾖｸﾜｶﾘﾏｾﾝ

本文にはVpassと書いてあります。
Vpassと言えば、三井住友カードの会員向けのインターネットサービスでも出てくる名称。
調べてみると、三井住友ばかりではなく他の金融機関でも使われているサービスでした。

では、プロパティーから見ていましょう。

件名は。
「[spam] 異常な支払い額の通知 」
事の大きさをイメージさせるためのこんな大げさな件名です。
でも、サーバーが”[spam]”ってメッセージを残してくれてるんで一目で詐欺メールだと
分かります。

差出人は
「vpass-update@fjkc4ra.cn」
またあからさまに中国のトップレベルドメイン使ってるし…
こんなのでも騙される人いるんだから困ったものです。┐(´д｀)┌ﾔﾚﾔﾚ
Vpassの正規ドメインは”vpass.ne.jp“です！
これ以外のドメインを使ったメールは偽物ですからお間違え無く！！

中国ドメインのメールアドレスも偽装

ではメールをヘッダーソースから調査してみウソを見破ります。
ソースから抜き出した「フィールド御三家」がこちらです。

”Recevied”よく見てください。
”from amazon.server.co.jp ”なんて記載されていますよね。
この差出人は、ほかにもアマゾンを騙った詐欺メールも送ってて、このメールと使い
まわして使っているいるようですね。(笑)

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

このIPアドレスは、現在ちゅごくで使われていると出ています。
それに”ドメイン”の項目にIPアドレスが記載されているので、差出人のメールアドレスに
使われている”fjkc4ra.cn”ってドメインも偽装の可能性が出てきました。
じゃ、このドメインのIPアドレスはどうなっているんでしょうか？

調べてみるとこのように全然違うIPアドレスが表示されましたので、やはりメールアドレスは
偽装が確定しました。

詐欺サイトは相当手の込んだもの

さて、本文を見ていきます。

本文に宛名の無いメールは怪しいと思ってください！
内容は、第三者の不正利用を装ったフィッシング詐欺メールですね。

この煽るような本文の末尾には、フィッシング詐欺を行うために作られた完コピ偽装サイトが
待ち受けています。
そのリンク先のURLがこちらです。

またあからさまな中国ドメインですね。
この”vvpees-me-index.jsekzbo.cn”ってドメインも調べてみます。

詳しい情報は出てきませんでしたが、北京のドメイン管理会社に管理を委託してありました。
では、そのドメインを割当ててるIPアドレス、すなわち偽の詐欺サイトを営むサーバーの
場所はどこにあるのでしょうか？
別のサイトで調べてみると、隣国の首都が表示されました。

あくまでおおよその位置情報ですが、観光スポットの明洞あたりにそのサーバーが設置され
ているようですね。

では、危険を承知でそのサイト訪れてみましょう。

2度ほどウイルスバスターにブロックされましたが、たどり着いたのはVJAグループの一覧が
掲載されたサイトです。

ただ単にこれだけのページかと思ったら違ったんです！
試しに「三井住友トラストVISAカード」のリンクを押してみると。
しっかり「三井住友トラストVISAカード」トップページの完コピ偽サイトが表示されました。

そのほかの金融機関名カードの書かれたリンクを覗いてみると、それぞれちゃんと偽サイトに
つながりました。
結構しっかり作り込んでありました…(^^;

まとめ

サイトの本気度はうかがえましたが、残念ながら初っ端のメールアドレスがこれじゃね…
皆さんも、このサイトをご覧になりスキルアップされて被害防止に役立てていただければ
幸いです(^^♪

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;